Издание ZDNet провело исследование краж BTC у пользователей кошельков Electrum за последние два года путем отслеживания адресов вывода украденных BTC.

Первый случай атаки на пользователей Electurm за исследуемый период был зафиксирован в декабре 2018 года. Злоумышленники воспользовались архитектурой кошелька, которая позволяет любому пользователю запускать собственный сервер ElectrumX. Они модифицировали код сервера, чтобы он выдавал любому пользователю, подключившемуся к серверу, сообщение о необходимом обновлении. 

Обновление с вредоносным кодом размещалось на сервисе GitHub, либо сторонних серверах. Когда невнимательный пользователь, не заметивший, что скачивает обновление со стороннего сервера, устанавливал его, злоумышленники получали доступ к биткоинам жертвы.

После первого случая было множество подобных атак, причем последняя была зафиксирована в сентябре 2020 года. По данным журналистов, на кошельках, принадлежащих хакерам, сейчас лежит 1 980 BTC, а еще 202 BTC было выведено в 2018 году. Таким образом, по текущему курсу злоумышленники в общей сложности смогли украсть биткоины на $24 млн.

После обнаружения атаки разработчики попытались заблокировать ее — в серверах ElectrumX появилась система черных списков и была отключена функция показа HTML-сообщений пользователям. Впрочем, периодически появляются пользователи со старыми версиями кошельков, которые могут подключаться к серверам злоумышленников.

Недавно, в конце августа, пользователь Electrum потерял 1 400 BTC после загрузки старой версии кошелька, подключившейся к вредоносным серверам. Его ошибка «обеспечила» хакерам больше половины всех украденных на этой уязвимости биткоинов.